Katalog CVE

CVE-2026-12706

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

W FFmpeg zidentyfikowano podatność typu use-after-free w dekoderze wideo RASC. Funkcja decode_move() inicjalizuje wskaźnik odczytu w zdekompresowanym buforze, ale późniejsza reallocacja tego samego bufora podczas przetwarzania tabeli ruchu pozostawia wskaźnik nieaktualny.

Ocena ryzyka

Atakujący może wykorzystać tę podatność, dostarczając specjalnie przygotowany plik AVI z złośliwym strumieniem wideo RASC, co może prowadzić do awarii aplikacji.

Rekomendacja

Zaleca się aktualizację FFmpeg do najnowszej wersji, aby usunąć tę podatność oraz unikanie otwierania nieznanych plików AVI.

Oryginalny opis (angielski, źródło NVD)

A use-after-free vulnerability was found in FFmpeg's RASC video decoder. The decode_move() function initializes a read pointer into a decompressed buffer, but a subsequent reallocation of that same buffer during move-table processing leaves the pointer dangling. An attacker could exploit this by providing a specially crafted AVI file containing a malicious RASC video stream. When a user opens or plays the file, the decoder reads from freed heap memory, which could lead to a denial of service (crash).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS